Qu'ont en commun un parc d'attractions, un parking souterrain et une entreprise pharmaceutique ? Ils peuvent tous les trois susciter l'intérêt des cybercriminels. Ces derniers mois, les hackers éthiques de Cresco Cybersecurity ont découvert des fuites de sécurité numérique dans ces entreprises. L'équipe a ainsi pu prendre le contrôle d'une montagne russe ou augmenter le débit d'une attraction aquatique, modifier tous les capteurs des parkings et le message des panneaux de signalisation, et expédier des dizaines de palettes d'analgésiques en Chine.
...

Qu'ont en commun un parc d'attractions, un parking souterrain et une entreprise pharmaceutique ? Ils peuvent tous les trois susciter l'intérêt des cybercriminels. Ces derniers mois, les hackers éthiques de Cresco Cybersecurity ont découvert des fuites de sécurité numérique dans ces entreprises. L'équipe a ainsi pu prendre le contrôle d'une montagne russe ou augmenter le débit d'une attraction aquatique, modifier tous les capteurs des parkings et le message des panneaux de signalisation, et expédier des dizaines de palettes d'analgésiques en Chine. Il est difficile pour les managers d'admettre que leurs environnements numériques sont défaillants, et pourtant ces fuites ne sont pas exceptionnelles. Notre monde est désormais essentiellement numérique et nos données sont une mine d'or pour le gouvernement, les entreprises et les institutions financières. Une réalité qui n'a pas échappé aux personnes mal intentionnées.La cybercriminalité a le vent en poupe. Au début du mois de mai, notre pays a été victime de l'une des plus grandes cyberattaques de son histoire. Et au début du mois de juin, Microsoft Office a déclaré avoir trouvé quatre autres failles de sécurité graves. Selon le dernier classement de World Economics, les cyberattaques constituent la première menace technologique et la sixième menace de tous types pour l'économie mondiale.Les grandes entreprises ou les gouvernements ne sont pas les seuls à être confrontés à la cybercriminalité. "De plus en plus de PME se font pirater", déclare Youssef Bey, cofondateur de Cresco. "De nombreuses entreprises sont actives dans le domaine de la cybersécurité, mais elles s'intéressent peu aux PME. Pourtant, la petite entreprise familiale a tout autant de chances d'être attaquée qu'une multinationale. Dans la plupart des cas, c'est encore plus facile, car elles ne sont presque pas protégées. Nous voulons aider tous les acteurs, et pouvoir influencer la situation en général."Tests d'intrusionPar rapport au reste de l'Europe, la Belgique est loin derrière en matière de cybersécurité. C'est ce que montrent les chiffres. En 2020, 60 % des entreprises ont signalé un incident de sécurité numérique. Pour l'ensemble des PME, ce chiffre est de 49 %. Le coût moyen d'une telle attaque est de 60 000 euros. Par conséquent, de plus en plus de petites entreprises font faillite dans les six mois qui suivent une cyberattaque. "Une cyberattaque n'entraîne pas que des dommages économiques", précise Youssef Bey. "Il y a le côté moral et psychologique. La réputation peut en prendre un coup, et il peut y avoir des amendes et des frais juridiques, ou une perte de productivité. Il est donc grand temps que la Belgique mûrisse dans le domaine de la cybersécurité."La start-up bruxelloise de Guillaume Deterville, Clément Laurens et Youssef Bey n'est active que depuis septembre. Elle est le fruit d'une passion commune pour la cybersécurité et de profils complémentaires. Guillaume Deterville a dix ans d'expérience en tant que hacker éthique, Clément Laurens a travaillé pendant quinze ans dans le consulting IT et Youssef Bey a des années d'expérience dans la vente et le marketing dans divers secteurs. Le capital de départ était entièrement constitué de fonds propres. Cresco a déjà quarante projets à son actif, et ce dans quinze secteurs. Ils ont déjà effectué plus de 5 000 heures de tests d'intrusion, un exercice d'intrusion dans les systèmes informatiques des entreprises afin d'exposer les fuites et les failles.Ces tests n'ont rien de nouveau, mais Cresco les fait toujours réaliser par des hackers éthiques expérimentés. "Nos hackers savent comment les vrais pirates pensent, et peuvent donc imiter au mieux la menace réelle", explique Youssef Bey. "Ils pensent comme des hackers malintentionnés, mais utiliser ces connaissances pour faire le bien. En définitive, nous voulons rendre les systèmes informatiques aussi étanches que possible."Le processus d'amélioration se compose de quatre étapes, selon une approche à 360 degrés. Après les tentatives d'intrusion éthiques et un audit de sécurité complet des systèmes, Cresco rédige un rapport reprenant conclusions et conseils. Ensuite, en concertation avec le client, un plan d'action est mis en place pour sécuriser l'infrastructure. Cela va d'une politique de mots de passe pour les employés à l'installation d'un pare-feu en passant par la protection des équipements du personnel. Youssef Bey : "Même les systèmes les plus performants et les plus chers peuvent être piratés s'ils sont mal configurés. Il est donc plus important d'éliminer ces failles que d'essayer de mettre en place une nouvelle infrastructure directement."Suivi constantEnsuite, les employés sont sensibilisés aux dangers de la cybercriminalité. L'équipe de hackers éthiques donne elle-même ces formations en utilisant des scénarios réalistes. Ces formations sont cruciales. L'erreur humaine est à l'origine de 80 % des cyberattaques. Par erreur humaine, nous entendons cliquer sur un lien suspect. "Nous envoyons par exemple des mails de phishing aux travailleurs de nos clients", explique Youssef Bey. "Sur les quelque 900 personnes qui ont déjà reçu les mails, pas moins de 65 % ont cliqué dessus. La moitié d'entre elles ont même transmis des informations sensibles. C'est effrayant, et cela prouve que nous devons investir massivement dans notre cyberhygiène."Enfin, l'entreprise dispose également d'un programme de surveillance, la cybersécurité étant soumise à une pression constante. Les hackers ne cessent d'innover. Avec de la volonté, tout leur réussit. "Nous voulons être un point de référence pour les clients sur le long terme", explique Youssef Bey. "Il est donc important d'informer les clients des nouvelles vulnérabilités liées à leur infrastructure, par exemple. Et si quelque chose se produit, nous répondrons à l'incident dans les 24 heures et guiderons le département informatique de notre client dans la recherche d'une solution."